La protection de la vie privée à l’ère du gouvernement 2.0

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires à l’occasion du Salon des gouvernements innovateurs du Canada (GTEC) 2010
« Les gouvernements hautement performants »

Le 7 octobre 2010
Ottawa (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je suis heureuse de participer à cette importante discussion sur le rôle de la technologie dans l’amélioration de la performance des gouvernements.

Il ne fait aucun doute qu’un gouvernement qui s’adapte aux besoins de la population est plus efficace et, en fin de compte, responsable. En tant que moyen de s’adapter, la technologie est indéniablement utile.

C’est aussi l’opinion du Commissariat, qui emploie diverses technologies pour engager le dialogue avec des intervenants et le grand public.

Cependant, dans cette ruée vers l’adoption de solutions technologiques, le gouvernement doit continuer d’accorder une attention particulière à la vie privée.

Il faut donc appliquer rigoureusement les lois, les politiques et les pratiques exemplaires actuelles visant à protéger les renseignements personnels des Canadiennes et Canadiens ― et les améliorer à mesure que les situations évoluent.

La technologie impose aussi de nouvelles responsabilités au secteur privé. Lorsque le gouvernement adopte de nouvelles applications technologiques, il veut être certain que les développeurs ont prévu les mesures de protection de la vie privée auxquelles le public s’attend ― pour aujourd’hui et pour demain.

Contexte

Au cours des deux derniers jours, vous avez beaucoup entendu parler de l’évolution des médias sociaux, de l’infonuagique, de l’omniprésence des connexions sans fil et de nombreux autres développements technologiques qui ont une si grande incidence sur nos vies.

Des raisons valables, et même convaincantes, justifient l’adoption des médias numériques, des technologies collaboratives et d’autres outils technologiques modernes par le gouvernement.

D’abord, il s’agit d’un moyen de répondre aux exigences des consommateurs.

De nos jours, les citoyens sont habitués à avoir accès à de l’information et à des services en tout temps sur un certain nombre de plateformes. Ils veulent accéder rapidement à leurs renseignements personnels. Ils veulent aussi des points de service uniques bien organisés et une plus grande maîtrise de leurs documents et de leurs affaires.

La technologie permet aussi au gouvernement de connaître différents points de vue dans divers domaines d’expertise et de prendre le pouls de la population qu’il sert. Elle offre tout simplement de nouveaux mécanismes pour favoriser les types de collaboration horizontale, de consultation et d’engagement que le gouvernement recherche depuis un certain temps.

C’est pour ces raisons que le greffier du Conseil privé invite la fonction publique à mettre à l’essai une gamme d’applications comme GCPedia, GCConnex, des wikis et des blogues ministériels, Twitter et YouTube.

Il s’agit d’une bonne nouvelle ― à condition, bien entendu, de bien faire les choses.

En effet, il faut tenir compte de facteurs complexes qui ont plusieurs facettes, dont l’utilisation des deux langues officielles, la protection des secrets d’État et peut‑être même la sécurité nationale.

Sans oublier une de mes principales préoccupations : la protection de la vie privée.

Défis pour la protection de la vie privée

La Loi sur la protection des renseignements personnels vise à souligner l’importance des renseignements personnels. Elle fournit ainsi le principe philosophique du concept de renseignements personnels au sein de la fonction publique fédérale.

En confiant à quelque 250 institutions fédérales la responsabilité de protéger les renseignements personnels, elle fournit aussi un cadre pratique lié à la protection des renseignements personnels.

Le problème c’est que la Loi sur la protection des renseignements personnels est entrée en vigueur en 1983, c’est‑à‑dire au moment où la navette Challenger a effectué son vol inaugural et où le dernier épisode de M*A*S*H a été diffusé.

À notre époque où les combats pour la protection de la vie privée se déroulent dans les domaines de la biométrie et du génome humain, la référence aux renseignements personnels « sur support » que l’on trouve dans la Loi est presque pittoresque.

L’âge avancé de la Loi est manifestement un problème, et nous demandons au Parlement de la mettre à jour depuis longtemps. L’avalanche de données et le Web 2.0 font en sorte que les défis continuent de se multiplier.

Nous ne devons donc pas considérer la Loi comme une fin, mais plutôt comme un point de départ vers de bonnes pratiques de protection de la vie privée. Les ministères et les organismes gouvernementaux doivent considérer la protection de la vie privée comme un élément essentiel de tout projet qui fait appel à la technologie.

Il faut commencer à y penser au tout début de l’étape de la conception, lorsque les politiques et les programmes sont envisagés pour la première fois.

Documents d’orientation stratégique

À cette fin, le Commissariat prépare une série de documents qui aideront les décideurs à tenir compte de la protection de la vie privée lorsqu’ils élaborent des politiques dans quatre domaines prioritaires.

Les technologies de l’information constituent l’un de ces domaines. Les autres sont la sécurité nationale, la technologie génétique et la protection de l’intégrité de l’identité personnelle.

Les documents ont pour but de fournir un cadre conceptuel pour faire de la protection de la vie privée un droit fondamental au même titre que d’autres droits et priorités.

Il y a deux semaines [le 23 septembre], nous avons organisé une réunion d’experts externes pour peaufiner notre premier document d’orientation sur l’intégration de la protection de la vie privée dans les initiatives concernant la sécurité nationale et publique. Nous publierons bientôt ce document sur notre site Web.

Pour ce qui est de l’orientation liée à la technologie, nous examinons des sujets précis comme la biométrie, l’informatique dans les nuages, le jeu en ligne et le marketing comportemental.

EFVP

Ces documents d’orientation commencent à prendre forme, mais les décideurs du gouvernement bénéficient déjà de directives très claires grâce au processus d’évaluation des facteurs relatifs à la vie privée.

Cette politique du Conseil du Trésor oblige les institutions à tenir compte de la protection de la vie privée lorsqu’elles créent ou modifient considérablement un programme ou un service qui nécessite la collecte, l’utilisation ou la communication de renseignements personnels.

Lorsqu’elles présentent une évaluation des facteurs relatifs à la vie privée au Commissariat, les institutions doivent montrer que l’initiative est nécessaire et qu’elle serait efficace pour atteindre le but fixé. Elles doivent aussi montrer que l’ingérence dans la vie privée est proportionnée aux avantages prévus et qu’il n’y a pas d’autres solutions qui seraient moins envahissantes pour la vie privée.

La protection de la vie privée doit faire partie des principes d’une politique, mais elle doit aussi exister en pratique.

C’est pour cette raison que le processus d’évaluation des facteurs relatifs à la vie privée demande aux organisations de tenir compte de dix « principes relatifs à l’équité dans le traitement de l’information », qui sont largement acceptés, pour protéger efficacement les renseignements personnels.

Leçons pratiques

Le Commissariat cherche d’autres moyens de fournir une aide pratique aux institutions qui doivent composer avec les répercussions de la technologie sur la protection de la vie privée. Par exemple, nous élaborons actuellement certains conseils sur les empreintes numériques.

Nous parachevons également un document qui résume ce que nous avons appris au cours de nos consultations sur la protection de la vie privée des consommateurs. La consultation sur l’informatique dans les nuages à Calgary, en juin dernier, pourrait fournir des observations très pertinentes aux organisations qui envisagent d’utiliser des services d’informatique dans les nuages pour traiter ou stocker des données.

Dans l’espoir que les organisations apprennent les unes des autres, le Commissariat diffuse aussi des leçons apprises et des pratiques exemplaires tirées de ses enquêtes sur les plaintes et de ses vérifications sur la protection de la vie privée.

Par exemple, le dernier rapport annuel concernant la Loi sur la protection des renseignements personnels, qui a été présenté au Parlement mardi [le 5 octobre], décrit un certain nombre de cas où des failles technologiques ont causé des atteintes à la protection des renseignements personnels.

Dans un cas où des employés du service fiscal ont accédé sans autorisation aux dossiers d’impôt de certaines personnalités bien en vue dans le monde du sport, nous avons appris que le système informatique ne disposait d’aucune piste de vérification efficace pour surveiller l’accès. L’Agence du revenu du Canada a depuis modernisé son système national de piste de vérification.

Nous nous sommes aussi intéressés à une attaque pirate contre un ordinateur utilisé par le Bureau de l’ombudsman de Postes Canada pour gérer le système de plaintes en ligne. Les données recueillies dans le cadre de 131 plaintes ont été dévoilées à cause de cette atteinte à la sécurité des données.

Postes Canada fait des tests chaque année pour évaluer la vulnérabilité de ses systèmes d’information, mais le Bureau de l’ombudsman ne faisait pas l’objet de ces examens. Cette lacune a elle aussi été corrigée depuis.

Les vérifications révèlent des lacunes

De nombreux enseignements précieux se dégagent de nos vérifications sur la protection de la vie privée, qui sont des examens complets de certaines pratiques particulières du gouvernement.

Par exemple, un rapport de vérification que nous avons publié mardi avec le rapport annuel concernant la Loi sur la protection des renseignements personnels a permis de mieux comprendre ce qui arrive aux renseignements personnels lorsque le gouvernement n’en a plus besoin pour atteindre son objectif initial.

La vérification a notamment permis de découvrir de sérieux problèmes liés au retrait des ordinateurs en surplus. Les institutions fédérales sont chargées de les nettoyer avant de les recycler ou de s’en départir d’une autre manière.

Trop souvent, cette responsabilité n’est pas assumée.

Nous avons examiné un échantillon de disques durs du gouvernement qui ont été donnés à un programme de recyclage des ordinateurs pour être distribués dans des écoles. Plus de 40 % d’entre eux contenaient encore des données, qui étaient parfois si délicates ― et même classifiées ―  que nous avons immédiatement fait réexpédier les appareils à leur ministère d’origine pour qu’ils soient nettoyés correctement.

Une deuxième vérification sur la protection de la vie privée, que nous avons publiée au même moment, portait sur les mesures de sécurité protégeant les renseignements personnels diffusés sur les réseaux sans fil du gouvernement ou stockés ou transmis par des fonctionnaires à l’aide de BlackBerry et d’autres appareils portatifs. Cette vérification a permis de découvrir des problèmes qui pourraient menacer les renseignements personnels des Canadiennes et Canadiens si les mesures d’atténuation appropriées ne sont pas prises.

Par exemple, des cinq organismes fédéraux examinés, aucun n’avait parfaitement évalué les menaces et les risques indissociables des communications sans fil. Des lacunes liées aux politiques ou aux pratiques ont fait en sorte que les téléphones intelligents étaient mal protégés par les mots de passe et que le cryptage ne protégeait pas suffisamment les réseaux WiFi et les données stockées sur des appareils portatifs.

Nous avons aussi remarqué des lacunes dans le stockage et le retrait des appareils portatifs en surplus. Nous avons aussi constaté que la messagerie NIP à NIP est encore très souvent permise, même si le Centre de la sécurité des télécommunications nous avertit que cette forme de communication directe entre deux téléphones intelligents peut être interceptée.

Zones grises

L’intérêt grandissant du gouvernement pour les technologies du Web 2.0 soulève de nouveaux défis.

L’un d’entre eux est la zone grise entre le travail et les loisirs.

Maintenant que les fonctionnaires peuvent se connecter à leur poste de travail en tout temps, de n’importe où et sur n’importe quel type d’appareils, la garde des renseignements personnels ne se limite plus aux heures de travail et aux bureaux du gouvernement.

Et qu’en est‑il du réseautage social privé au bureau ou du réseautage social avec des collègues à partir de la maison?

Que fait‑on du travail collaboratif avec d’autres intervenants, y compris ceux de l’industrie (qui peuvent être assujettis à la loi sur la protection des renseignements personnels applicable au secteur privé) et les citoyens (qui ne sont peut‑être assujettis à aucune loi en matière de protection des renseignements personnels)?

Le Secrétariat du Conseil du Trésor se penche sur ces questions. Il élabore des lignes directrices sur la façon la plus efficace et sécuritaire d’encourager l’utilisation des médias sociaux au sein du gouvernement.

À mon avis, nous devons aller encore plus loin et faire appel à de nombreuses personnes dans cette salle.

Étant donné que ces applications sont généralement créées par le secteur privé, il est nécessaire que l’industrie se sente aussi concernée par la question de la protection des renseignements personnels des Canadiennes et Canadiens.

Le rôle du secteur privé

Nos négociations constantes avec Facebook ont sans doute aidé à faire connaître quelques-unes de nos préoccupations. Dans une série d’enquêtes qui remontent à 2008, nous avons invité ce géant mondial de la technologie à adopter une vaste gamme de mesures de protection de la vie privée et à être plus transparent en ce qui concerne ses politiques et ses pratiques connexes.

Les préoccupations au sujet du respect de la vie privée ont aussi déclenché un déluge de réactions négatives quand Google a lancé son service de réseautage social Buzz, en février. Les abonnés de Gmail, un service de courriel privé basé sur le Web, ont été surpris de voir que leurs contacts personnels étaient publiés dans le monde entier sur le site de réseautage social public.

Google a rapidement réglé le problème, mais sa réputation a été atteinte et l’entreprise a dû débourser 8,5 millions de dollars le mois passé [le 2 septembre] pour régler un recours collectif à l’amiable. En avril dernier, le Commissariat et neuf autres autorités de protection des données dans le monde se sont réunis pour faire part de leurs préoccupations dans une lettre ouverte à Google.

Notre message à Google et à d’autres chefs de file dans le domaine de la technologie était simple : il faut penser à la protection de la vie privée avant de lancer un service plutôt que de courir le risque et espérer limiter les dégâts par la suite.

Vulnérabilités

Les problèmes de Google dans le domaine de la diffusion WiFi sont aussi riches en enseignements.

Les voitures Street View de l’entreprise, qui sont équipées de caméras, ont recueilli des données transmises sur des réseaux WiFi non protégés dans de nombreux pays. Un recours collectif est en cours en Californie. De plus, les autorités de protection des données de plusieurs pays européens, une trentaine d’États américains, la Commission fédérale du commerce des États‑Unis et moi‑même au Canada avons tous lancé des enquêtes.

Peu importe le résultat de nos enquêtes ― j’espère pouvoir publier nos résultats bientôt ― la situation rappelle une vérité importante : une chaîne est aussi forte que son maillon le plus faible. Si une organisation prend de nombreuses mesures de sécurité sur ses propres systèmes, ses points faibles peuvent être ailleurs.

Ce peut être, par exemple, une personne à la maison qui n’a ni pare‑feu ni logiciel antivirus ou une connexion sans fil dont les protections sont désuètes ou carrément inexistantes.

Certaines recherches laissent croire qu’environ la moitié des réseaux sans fil du Canada peuvent être piratés en quelques minutes. Les organisations de bonne réputation qui mènent des activités sur ces réseaux ne devraient‑elles pas être un peu préoccupées par cette situation?

Si elles le sont vraiment, elles devraient peut‑être s’unir pour que les données soient sécurisées tout au long de la chaîne, jusqu’à l’utilisateur.

Ne serait‑il pas logique, par exemple, de n’offrir des services gouvernementaux et commerciaux en ligne que sur des appareils et des réseaux qui respectent des normes de sécurité convenables?

D’ailleurs, pourquoi les réseaux sans fil ne sont‑ils pas sécurisés par défaut? Plutôt que d’obliger les gens à suivre une série d’étapes pour sécuriser leur réseau à domicile, ne serait‑il pas plus simple de les crypter automatiquement dès le départ?

La protection de la vie privée à l’étape de la conception

Durant une conférence internationale des commissaires à la protection des données et de la vie privée qui aura lieu à Jérusalem ce mois‑ci, je coparrainerai une résolution sur la protection de la vie privée à l’étape de la conception, qui est mise de l’avant par ma collègue Ann Cavoukian, de l’Ontario.

L’ébauche de la résolution indique que les facteurs relatifs à la vie privée doivent toujours être considérés dans le cadre de la conception, de l’exploitation et de la gestion des technologies et systèmes de l’information, et ce, tout au long du cycle de vie et dans l’ensemble de l’organisation.

La résolution forcerait les signataires à défendre le principe de la protection de la vie privée à l’étape de la conception, ce que je suis tout disposée à faire.

Par la même occasion, j’invite les gouvernements et les entreprises privées à se joindre à nous pour que nous parlions tous d’une même voix faisant autorité.

Ainsi, nous pourrions non seulement garantir que leurs systèmes sont sécuritaires, mais aussi aider à sensibiliser les clients et les utilisateurs à l’importance des mesures de protection de la vie privée qu’ils doivent prendre.

Conclusion

En terminant, je voudrais mentionner que la technologie offre d’excellentes occasions aux gouvernements et à d’autres secteurs de l’économie.

Elle peut sans aucun doute aider le gouvernement à s’adapter et à être plus informé, efficient et efficace.

Sa capacité d’améliorer la performance dépend toutefois de la confiance des utilisateurs. Que ce soit pour une déclaration de revenus, une prestation de retraite, un passeport ou une demande d’immigration, les Canadiennes et Canadiens doivent savoir que leurs renseignements personnels seront en sécurité lorsqu’ils font affaire avec le gouvernement.

C’est un énorme défi qui doit cependant être relevé. En matière de protection des renseignements personnels, le gouvernement du Canada doit établir les normes et servir de modèle.

Il ne peut y arriver sans l’aide du secteur privé et des esprits novateurs qui ont créé un si grand nombre d’applications dont nous dépendons.

Ce n’est que lorsque nous collaborerons tous avec une même vision de la protection de la vie privée que nous pourrons obtenir les gains de productivité qui caractérisent les gouvernements hautement performants.

Merci de votre attention.

Date de modification :